Munchables损失6亿美元,今年以来加密货币损失超70亿美元。
3月27日凌晨,Blast生态中的Munchables遭受了严重黑客攻击,超过1.74万枚ETH(约6230万美元)被盗,是2024年迄今为止金额第三大的黑客攻击事件。RootData数据显示,Munchables最近刚完成种子轮融资。Blast创始人Pacman表示前Munchables开发者已选择归还资金,并提醒开发者保持警惕。调查表明,Munchables可能因雇佣了伪装成开发者的朝鲜黑客而遭受攻击。朝鲜黑客组织Lazarus Group等多次在加密货币领域发动攻击,需加强防范。区块链安全事件损失快速增长,黑客攻击和Rug Pull事件频发。
3月27日凌晨,Blast生态猖獗,其链上Web3游戏平台Munchables宣布遭受严重攻击,已有超过1.74万枚ETH(约6230万美元)被盗,为2024年迄今为止最大的黑客攻击事件其中之一。
Munchables 是 Blast Big Bang 获奖项目。据加密货币数据平台 RootData 显示,Munchables 最近还刚刚宣布完成 Manifold 和 Mechanism Capital 共同领投的种子轮融资。
Munchables公布恐袭后,其TVL从9600万美元大幅下跌至3400多万美元。
本身发稿,Blast创始人Pacman发文表示,前Munchables开发者已选择归还资金,且不需要任何赎金。但Pacman也提醒所有开发者要股市吸吮。
阿联酋通讯社、链上侦探 ZachXBT 针对这次攻击的原因调查后表示,Munchables 被盗或因雇佣了伪装成开发者的朝鲜黑客。
“Munchables 团队雇佣的四名不同的开发人员与漏洞利用者有关联,他们很可能是同一个人。他们相互推荐工作、定期向相同的两个交易所地址转账,以及为各个的钱包充值。”
根据慢雾创始人余弦的分析,除了 Munchables 之外,近期被社会工程攻击的项目方不在少数。“慢雾已经遇到了第二个 DeFi 类项目遇到的此类情况,核心开发者长期以来一直将潜伏描绘成这样,获得整个项目团队的信任,只要一到就下手,毫不留情。受害者恐怕非常巨大。”
腐败信任,朝鲜黑客惯用的攻击套路
相比于技术漏洞攻击,朝鲜黑客选择通过社会工程的攻击手段,可能让更多加密货币团队防不胜防。
Munchables 不小心雇佣了朝鲜黑客不是新鲜事。对 Munchables 发起危险攻击的该朝鲜黑客还曾被 NFT 发展游戏 Aavegotchi 短期雇佣过,据 Aavegotchi 创始人 CoderDan 表示,“但感觉到他像一个朝鲜黑客,我们在一个月内解雇了他,他还曾试图让我们雇用他的另一个可能也是黑客的朋友”。
隐私协议aztecnetwork的工作人员Jonwu也曾公开分享过,采访一位伪装成韩国人的朝鲜黑客的奇葩经历。
除了以员工潜身份进入团队内部发起信任攻击外,朝鲜黑客还擅长以雇主身份来发起信任攻击。
臭名昭著的朝鲜黑客组织Lazarus Group,也是损失超6亿美元的浪人跨链桥攻击幕后黑手,在2022年和2023年的绝密作案中,就喜欢打折扣招聘的旗号,潜入目标项目系统从而窃取大额资金。
比如说2022年损失超6亿美元的Ronin跨链桥攻击事件中,Lazarus Group注册了虚假公司,通过领英联系到了Axie Infinity和Ronin Sky Mavis的员工,将恶意软件写入伪造的“报价”其中,员工下载“Offer”后,黑客便潜入了Ronin系统,获取了验证器签名。
而2023年CoinsPaid被黑客盗取3700万美元的攻击中,Lazarus Group也让CoinsPaid的一位工程师以为获得了Crypto.com面试机会,在技术测试中下载了恶意软件,让朝鲜黑客从CoinsPaid中伪造了热钱包提取资金的授权请求。
ChainCatcher曾在《Ronin、KuCoin等多起安全事件幕后黑手:深扒朝鲜黑客组织Lazarus Group》分析过,Lazarus Group最高明的攻击手段就是盗取信任,其利用目标对商业通信、同事内部聊天或者与外部交互的信任,向其发送恶意文件,并监视其日常操作惯用机的盗窃。
在攻击者找到加密货币大户后,会仔细观察用户数周或数月的活动轨迹,最后才制定攻击方案。
2021年1月,谷歌安全团队也曾表示发现Lazarus长期潜伏在Twitter、LinkedIn、Telegram等社交媒体上,利用虚假身份伪装成活跃的漏洞研究专家,博取信任从而对其他漏洞研究人员发起0day攻击。
区块链安全损失大幅增加
牛市下,加密货币市场资金活跃起来,区块链各类安全事件损失大幅上涨。
据区块链安全商Beosin报告统计,2024年以来,各类安全事件损失金额已超7亿美元。
2024年1月普遍安全事件中,其中因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额约2.05亿美元,较去年12月增长约93%。而2024年2月此前于1月份,又上涨了105%。
在黑客攻击方面,已发生两笔过亿美元的攻击事件。2月9日和2月12日,加密货币游戏平台PlayDapp遭遇两次私钥泄露攻击,攻击者共铸造了17.9亿个PLA代币,价值约2.9亿美元。
1月30日,Ripple创始人联合Chris Larsen称个人账户被盗2.13亿枚XRP,约1.12亿美元。
今天Blast 生态Web3游戏平台Munchables被攻击损失6230万美元,为2024年迄今为止金额第三大的攻击事件。此外,去中心化交易所FixedFloat、韩国Web3社交音乐服务SOMESING、Axie Infinity联合创始人Jihoz .ron 最近都遭受了数千美元级别的损失。
而相比于黑客攻击,Rug Pull事件的增长声更猛烈。2024年2月Rug Pull事件较1月增长约440%。其中,香港交易所Bitforex热钱包异常突破5650美元,质疑是地毯拉力。
该交易所CEO不仅已辞职,其官方已停止处理提款并关闭了官网,X账户也已停止更新。